Zum Inhalt springen

EU AI Act 2026: Was Mittelständler jetzt tun müssen

EU AI Act ab August 2026: Was deutsche KMU als KI-Betreiber jetzt tun müssen. 5-Schritte-Plan, Bußgeld-Übersicht, Checkliste für den Mittelstand.

EU AI Act 2026: Was Mittelständler jetzt tun müssen

Sie entwickeln keine eigene KI. Trotzdem sind Sie vom EU AI Act betroffen.

Das ist der Irrtum, der gerade vielen Mittelständlern teuer wird. Nicht weil sie KI bauen, sondern weil sie sie nutzen. 41 Prozent der deutschen Unternehmen setzen mittlerweile KI aktiv ein, mehr als doppelt so viele wie im Vorjahr (Bitkom 2026). Copilot, ChatGPT, ein KI-gestütztes Bewerbertool oder ein automatisierter Kreditprüfungsassistent im Buchhaltungssystem. Das reicht.

Der 2. August 2026 ist die entscheidende Deadline für die Hochrisiko-Pflichten des EU AI Acts. Allerdings: Das EU-Parlament hat im März 2026 für eine Verschiebung auf Dezember 2027 gestimmt (Digital Omnibus). Bis zur endgültigen Verabschiedung bleibt August 2026 rechtlich bindend. Wer jetzt wartet, geht ein Risiko ein.

Das Gute: Die meisten deutschen KMU sind keine KI-Anbieter. Sie sind Betreiber. Für Betreiber ist der Aufwand überschaubar. Aber er ist nicht null. Und rund 64 Prozent der Unternehmen haben noch keinerlei Maßnahmen zur AI-Act-Umsetzung ergriffen (CRIF/EY 2026).

Welches Tool in Ihrer IT als hochriskant gilt und was das konkret für Sie bedeutet: Das beantworte ich weiter unten Schritt für Schritt.

Was der EU AI Act ab August 2026 von Ihnen verlangt

Der EU AI Act gilt nicht auf einen Schlag. Er wirkt gestaffelt.

  • 2. August 2024: Der EU AI Act tritt in Kraft.
  • 2. Februar 2025: Verbotene KI-Praktiken werden durchgesetzt. Die KI-Kompetenzpflicht (Art. 4) tritt in Kraft.
  • 2. August 2025: GPAI-Regeln für Anbieter großer KI-Basismodelle.
  • 2. August 2026: Hochrisiko-Pflichten aus Anhang III vollständig anwendbar. Das ist die relevante Deadline für typische Mittelstandsbetriebe.
  • August 2027: Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen).

Für den Großteil der deutschen KMU ist der 2. August 2026 die Grenze, die zählt.

Zur deutschen Umsetzung: Das Bundeskabinett hat am 11. Februar 2026 den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Das Gesetz durchläuft derzeit die parlamentarische Beratung in Bundestag und Bundesrat. Es benennt die Bundesnetzagentur als federführende Marktüberwachungsbehörde und regelt die Aufgabenverteilung mit spezialisierten Sektorenbehörden (BMDS 2026).

Update März 2026: Verschiebung der Hochrisiko-Fristen?

Am 18. März 2026 haben die zuständigen EU-Parlamentsausschüsse (IMCO und LIBE) mit großer Mehrheit für den sogenannten Digital Omnibus gestimmt. Das Paket sieht vor:

  • Hochrisiko-Pflichten (Anhang III): Verschiebung von 2. August 2026 auf 2. Dezember 2027
  • Hochrisiko-KI in regulierten Produkten: Verschiebung auf 2. August 2028
  • Erweiterte KMU-Definition: Erleichterungen sollen künftig auch für “Small Mid-Caps” gelten (bis 750 Mitarbeiter und 150 Mio. EUR Umsatz)
  • Post-Market-Monitoring für Betreiber wird gestrichen

Was bedeutet das für Sie? Bis zur endgültigen Verabschiedung bleibt der 2. August 2026 rechtlich bindend. Das Gesetzgebungsverfahren zwischen Parlament und Rat läuft noch. Planen Sie weiterhin mit diesem Datum. Wenn die Verschiebung kommt, haben Sie mehr Zeit. Wenn nicht, sind Sie vorbereitet.

Was sich durch den Omnibus nicht ändert: Die KI-Kompetenzpflicht (Art. 4, seit Februar 2025), die Verbote (Art. 5) und die Transparenzpflichten (Art. 50, ab August 2026) bleiben unverändert.

Anbieter oder Betreiber: Welche Rolle haben Sie?

Diese Unterscheidung entscheidet über den Umfang Ihrer Pflichten.

Anbieter entwickeln KI-Systeme und bringen sie auf den Markt. Das ist Microsoft (Copilot), OpenAI (ChatGPT), SAP (KI-Funktionen im ERP). Nicht Ihr Produktionsbetrieb mit 80 Mitarbeitern.

Betreiber, im EU-Jargon “Deployer”, setzen fremde KI-Systeme im eigenen Unternehmen ein. Das sind Sie, wenn Sie:

  • Microsoft 365 Copilot für Ihre Mitarbeitenden aktivieren,
  • ChatGPT im Kundenservice einsetzen,
  • ein HR-Tool kaufen, das Bewerbungen vorauswählt, oder
  • eine KI-Kreditprüfungsfunktion in der Buchhaltungssoftware nutzen.

Als Betreiber tragen Sie weniger Pflichten als ein Anbieter. Aber sie sind nicht null. Und ab August 2026 werden sie verbindlich. Die Bundesnetzagentur ist im KI-MIG-Entwurf als federführende Marktüberwachungsbehörde vorgesehen und baut bereits Beratungsangebote auf.

Ist Ihr KI-System hochriskant?

Nicht jede KI fällt unter die strengen Hochrisiko-Regeln.

Der EU AI Act unterscheidet vier Klassen:

  1. Verboten: Social Scoring, biometrische Echtzeit-Überwachung öffentlicher Räume, manipulative KI ohne Wissen der Betroffenen.
  2. Hochrisiko (Anhang III): Besondere Pflichten, Konformitätsbewertung, strenge Dokumentation.
  3. Begrenzt riskant: Transparenzpflichten, z. B. müssen sich Chatbots als KI kenntlich machen.
  4. Minimal riskant: Standardfall für die meisten KI-Tools im Büroalltag.

Die acht Hochrisiko-Bereiche aus Anhang III:

  1. Biometrie (Gesichtserkennung, Emotionserkennung)
  2. Kritische Infrastruktur (Strom, Gas, Wasser, Verkehr)
  3. Bildung und Ausbildung (Zulassungsentscheidungen, automatisierte Bewertung)
  4. Beschäftigung (Recruiting-KI, Leistungsbewertung, Kündigung)
  5. Zugang zu grundlegenden Diensten (Kreditwürdigkeitsprüfung, Sozialleistungen)
  6. Strafverfolgung
  7. Migration und Grenzkontrolle
  8. Justizverwaltung

Was bedeutet das für typische Mittelstands-Tools?

Microsoft 365 Copilot in der Standardkonfiguration ist in der Regel kein Hochrisiko-System. Er unterstützt Texte, E-Mails und Zusammenfassungen, trifft aber keine autonomen Entscheidungen über Personen.

Anders sieht es aus, wenn KI Personalentscheidungen trifft oder wesentlich beeinflusst. Ein Tool, das Bewerbungen automatisch bewertet und Kandidaten vorauswählt, fällt in den Hochrisiko-Bereich. Ebenso eine KI-Funktion, die Kreditwürdigkeiten bewertet.

Die Erfahrung zeigt: Viele Betriebe haben KI-Funktionen im Einsatz, ohne es explizit so zu nennen. Eingebettete KI in ERP, HR-Software oder Buchhaltungstools fällt unter den EU AI Act, auch wenn der Anbieter sie nicht prominent bewirbt.

Der erste Schritt ist deshalb immer eine KI-Inventur.

Was schon heute Pflicht ist: Art. 4 KI-Kompetenz

Viele Unternehmen wissen es nicht: Eine Pflicht des EU AI Acts gilt bereits seit dem 2. Februar 2025.

Artikel 4 verpflichtet Betreiber, sicherzustellen, dass Mitarbeitende “ausreichende Kenntnisse” im Bereich KI haben. Konkret bedeutet das:

  • Mitarbeitende, die KI-Systeme einsetzen, müssen grundlegend verstehen, wie das System funktioniert.
  • Schulungen müssen durchgeführt und dokumentiert werden.
  • Die Dokumentation muss auf Anfrage einer Behörde vorgelegt werden können.

Das ist keine Pflicht, die irgendwann kommt. Sie gilt jetzt.

Wenn Sie bisher keine Schulungen zum Thema KI-Nutzung dokumentiert haben, ist das der einfachste Schritt, den Sie heute starten können.

Tipp: Nicht sicher, welche Schulungsmaßnahmen für Ihr Unternehmen ausreichen? Der KI-Kompass gibt Ihnen in einem halben Tag Klarheit darüber, wo Ihr Unternehmen steht, auch bei Compliance-Fragen.

Ihre Pflichten als Betreiber ab August 2026

Wenn Sie ein Hochrisiko-KI-System einsetzen, müssen Sie als Betreiber diese Anforderungen erfüllen:

Menschliche Aufsicht sicherstellen. Eine kompetente Person muss KI-Entscheidungen übersteuern können. Stopp-Funktionen sind erforderlich. Vollautomatische Personalentscheidungen ohne menschliche Prüfung sind nicht zulässig.

Grundrechte-Folgenabschätzung durchführen. Vor dem Einsatz eines Hochrisiko-Systems dokumentieren Sie, welche Grundrechte potenziell betroffen sein könnten. Das ist kein juristisches Gutachten, sondern eine strukturierte Bewertung.

Monitoring betreiben. Sie müssen die Leistung des Systems kontinuierlich beobachten. Schwerwiegende Vorfälle sind innerhalb von 15 Tagen zu melden (EU AI Act Art. 73, ADVISORI 2026).

Mitarbeitende informieren. Wenn KI im Arbeitsumfeld eingesetzt wird, müssen die betroffenen Mitarbeitenden darüber informiert werden.

Systemanleitung befolgen. Das KI-System muss so eingesetzt werden, wie der Anbieter es vorschreibt. Abweichungen können dazu führen, dass Sie Anbieter-Pflichten übernehmen.

Unterlagen aufbewahren. Alle relevanten Dokumentationen müssen zehn Jahre lang aufbewahrt werden (ADVISORI 2026).

Lieferantenvertrag prüfen. Ein oft übersehener Punkt: Stellen Sie sicher, dass Ihr Softwareanbieter die notwendige Compliance-Dokumentation bereitstellt. Ohne die technische Dokumentation des Anbieters können Sie Ihre eigenen Betreiberpflichten nicht vollständig erfüllen.

EU AI Act Bußgelder: Was Verstöße für KMU kosten

Die Bußgelder des EU AI Acts klingen bedrohlich. Richtig eingeordnet relativieren sie sich.

Das dreistufige System nach Art. 99 EU AI Act:

  • Verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes (Secjur 2026, Art. 99 EU AI Act)
  • Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes (Secjur 2026, Art. 99 EU AI Act)
  • Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1,5 Prozent des globalen Jahresumsatzes (Secjur 2026, Art. 99 EU AI Act)

Für KMU gilt immer der niedrigere der beiden Beträge (Haufe-X360 2026). Bei einem Unternehmen mit 5 Millionen Euro Jahresumsatz wären drei Prozent Umsatzstrafe (Secjur 2026, Art. 99 EU AI Act) 150.000 Euro. Kein Pappenstiel, aber kein existenzielles Risiko.

Strafmindernd wirkt:

  • Vollständige Compliance-Dokumentation (Accountability-Nachweis)
  • Kooperation mit der Behörde
  • Proaktive Selbstmeldung von Fehlern
  • Nachweisbare Schulungsmaßnahmen für Mitarbeitende

Kurz: Wer einen guten Prozess hat und diesen dokumentiert, steht deutlich besser da als wer gar nichts getan hat.

5-Schritte-Plan: Was Sie jetzt konkret tun

Ob die Frist August 2026 oder Dezember 2027 wird: Wer strukturiert vorgeht, ist in beiden Szenarien vorbereitet. Dieser Plan funktioniert für beide Fristen.

Schritt 1: KI-Inventur erstellen (jetzt bis April 2026)

Listen Sie alle KI-Systeme in Ihrem Unternehmen auf. Dazu gehören nicht nur die offensichtlichen Tools wie Copilot oder ChatGPT. Auch eingebettete KI-Funktionen in bestehender ERP-, CRM- oder HR-Software zählen.

Fragen Sie Ihren Softwareanbieter explizit: “Enthält dieses Produkt KI-Funktionen im Sinne des EU AI Acts?”

Schritt 2: Risikoklassifizierung vornehmen (April bis Mai 2026)

Prüfen Sie für jedes gefundene System: Fällt es in einen der acht Hochrisiko-Bereiche aus Anhang III? Bei Unsicherheit gilt: Im Zweifel höher klassifizieren und Dokumentation aufbauen.

Schritt 3: Compliance-Dokumentation starten (Mai 2026)

Für Hochrisiko-Systeme: Grundrechte-Folgenabschätzung durchführen, Monitoring-Prozess definieren, menschliche Aufsicht dokumentieren.

Für alle Systeme: Schulungsnachweise für Art. 4 KI-Kompetenz zusammenstellen. Wenn noch keine Schulungen dokumentiert wurden, jetzt nachholen.

Schritt 4: Lieferantenverträge prüfen (Mai bis Juni 2026)

Fordern Sie von Ihren KI-Software-Anbietern die Compliance-Unterlagen an. Die Verantwortung liegt nicht nur beim Anbieter. Als Betreiber sind Sie mitverantwortlich dafür, nur konforme Systeme einzusetzen.

Schritt 5: Governance verankern (bis 2. August 2026)

Benennen Sie eine interne Person, die für KI-Compliance zuständig ist. Das muss kein Volljurist sein. Eine verantwortliche Person, die den Prozess steuert und Dokumentation pflegt, reicht als Startpunkt.

Was KMU erleichtert (aber nicht befreit)

Es gibt keine Ausnahme für KMU im EU AI Act. Die Pflichten gelten für alle.

Aber es gibt Erleichterungen:

Verhältnismäßige Bußgelder. KMU zahlen immer den niedrigeren der zwei möglichen Beträge. Großunternehmen zahlen den höheren. Das ist ein struktureller Unterschied, der in der Praxis erheblich ist.

Regulatory Sandboxes. Jeder EU-Mitgliedstaat muss bis August 2026 mindestens ein nationales Reallabor bereitstellen. Dort können KMU und Startups KI-Systeme kostenlos und priorisiert testen (Haufe-X360 2026). In Deutschland hat die Bundesnetzagentur zusammen mit dem Hessischen Digitalministerium und dem Bundesdatenschutzbeauftragten bereits ein Pilotprojekt erfolgreich abgeschlossen (Mai 2025 bis März 2026). Die Ergebnisse fließen in den bundesweiten Aufbau der Reallabore ein.

Vereinfachte Dokumentation. Für technische Dokumentation gibt es gesonderte, KMU-gerechte Formulare. Auch die Gebühren für Konformitätsbewertungen werden an die Unternehmensgröße angepasst.

Kostenloser KI-Service-Desk. Die Bundesnetzagentur bietet seit Juli 2025 einen kostenlosen KI-Service-Desk an. Besonders nützlich: Der interaktive KI-Compliance-Kompass, ein Online-Tool, das prüft, ob und wie die KI-Verordnung für Ihre konkreten Systeme gilt. Eine gute erste Anlaufstelle, bevor Sie externe Beratung beauftragen.

Meine Einschätzung: Der EU AI Act zielt auf KI-Anbieter und große Konzerne. Für einen mittelständischen Betreiber, der keine autonomen Entscheidungen über Personen durch KI trifft, ist der Aufwand überschaubar. Die größte Gefahr für KMU ist nicht die Regulierung selbst, sondern das Nichtstun.

Nächster Schritt: Sie wissen jetzt, was der EU AI Act von Ihnen verlangt. Im KI-Kompass klären wir in einem halben Tag, welche Ihrer Systeme betroffen sind und welche Maßnahmen Sie konkret brauchen. Und in der KI-Umsetzung setzen wir den Compliance-Fahrplan gemeinsam um.

Loslegen

Haben Sie Fragen zu diesem Thema?

In einem kostenlosen Erstgespräch gehen wir auf Ihre konkreten Herausforderungen ein.

Kostenloses Erstgespräch buchen
Kostenloses Erstgespräch buchen